問題タブ [addslashes]

$_POST から multidim 配列がありますが、serialize() してからデータベースに保存する必要があります...

通常はシリアル化できますが、スラッシュ (アポストロフィと二重引用符) に問題がありました。

私の配列は次のようです: $array["hu"]["category"]["food"] = "string";

しかし、「文字列」に「」または「」が含まれている場合、たわごとがあります...

スラッシュを追加するための短いコードが必要ですが、間違った解決策がたくさんあります。

ps: 私は CodeIgniter のユーザーです。

// アップデート：

どうも！

を使用して、次の TEXT 値を MySQL に挿入しています。

$groupname = addslashes($_POST['グループ名'];

私が使用しているMysqlから値を取得するとき

$name = $row['グループ名'];

エコー $name;

そして、これは「Mr. Davis's Group」として正しく表示されます

しかし、この値が次のようにフォームに追加されると

次に、値を別のページに渡し、次のように取得します

$name = $_POST['グループ名']; エコー $name;

アポストロフィの前のすべてを保持する「Mr. Davis」として表示されます。

??理由はわかりませんが、stripslashes($_POST['groupname']; を追加しようとしましたが、同じことが起こりました

string addlashes（string $ str）データベースクエリなどで引用符で囲む必要のある文字の前に円記号が付いた文字列を返します。これらの文字は、一重引用符（'）、二重引用符（ "）、円記号（）、およびNUL（NULLバイト）です。

私はこのphp関数と同等のC++に取り組んでいます。現在、私の関数はネストされたreplace呼び出しを使用しており、\を\\に、'を\'に置き換えています。それはまったくきれいではなく、それも非常に遅いです。

標準のC++ライブラリと関数のみを使用する最良の解決策は何ですか？私は絶対に最速の方法を意味します。

こんにちは、誰かが拡張されたaddslashes関数の構築を手伝ってくれます。これは、オブジェクトと配列の混合された組み合わせで機能します。たとえば、私はこのオブジェクトを持っています：

そして、このオブジェクトを同じ構造でエスケープして戻したいと思います。私はいくつかの実験を開始しました、そして私はこのようなものを手に入れます：

しかし、これはうまくいきません。私は参照を渡すことで作業する必要があると思いますが、どのようにすればよいかわかりません。他の解決策もあるといいでしょう。よろしくお願いします。

フォーム エディターを想像してみましょう。使用可能な値を編集できます。データに"文字 (二重引用符) が含まれていると、HTML コードが「破棄」されます。つまり、コードを確認してみましょう: HTML を生成します。

onclick="var a = prompt('New value: ', '<?php echo addslashes($rec[$i]); ?>'); if (a != null)....

そしてそれは

onclick="var a = prompt('New value: ', 'aaaa\"aaa'); if (a != null) { v....

これにより JS が機能しなくなり、コードが台無しになります。シングルクォート'で問題なく動作します。mysql real escape同じことをします。javascriptを台無しにしないように文字列をエスケープする方法は?

json_encode は問題ないように見えましたが、私は何か間違ったことをしているに違いありません。それでもまだ悪いです: Firefox がそれをどのように認識するかのスクリーンショットを次に示します - 「悪い」二重引用符が挿入されます! 値は単純な数値です。

http://img402.imageshack.us/img402/5577/aaaahf.gif

そして私は使用しました：

PHP に相当する JavaScript の適切なバージョンを探していますaddSlashes。

多くのバージョンを見つけましたが、どれも\b、\t、\n、\fまたはを処理しません\r。

http://jsfiddle.net/3tEcJ/1/

完全にするには、この jsFiddle は次のように警告する必要があります。\b\t\n\f\r"\\

私はPHPが初めてです。現在、\ をエスケープして mysql DB に保存するという 1 つの問題に直面しています。例: 文字列が のような場合、$str = \\aaaa\bbb\\\cccc$$その文字列を DB に保存したいと思います。ただし、これらのバックスラッシュをエスケープする方法がわかりません。解決するのを手伝ってください。

重複の可能性：
mysql_real_escape_string（）は、addslashes（）が実行しないことを実行しますか？

PHPのaddslashes関数がSQLインジェクションに対してどのように/なぜ脆弱であるかについての記事をレビューしてきました。私が読んだすべてのことは、特定のmysqlエンコーディングタイプ（default-character-set = GBK）に問題がある、またはmagic_quotesが有効になっている場合に問題があると言っています。ただし、このシナリオでは、addslashes（）関数から抜け出して、管理者としてログインするなど、悪意のあることを行うことができませんでした。

これはクライアントの（マイナーな）セキュリティ監査であり、PDOを利用することをお勧めしますが、現在の脆弱性を表示する必要があります。

参照：

• http://shiflett.org/blog/2006/jan/addslashes-versus-mysql-real-escape-string
• http://hakipedia.com/index.php/SQL_Injection#addslashes.28.29_.26_magic_quotes_gpc

そうです：

$textに'が含まれている場合はエラーがスローされます

[構文エラー]行0、列150：エラー：文字列の終わりが必要です。「T」500内部サーバーエラーが発生しました-QueryException

それを修正する方法は？